La Agencia Española de Protección de Datos ha detectado que las empresas siguen recogiendo el consentimiento de los usuarios de la forma que se hacía con la antigua LOPD, que no es válida para cumplir con la normativa europea.
Cuando el año pasado comenzó a hacerse efectivo el nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), los usuarios vieron como los buzones de sus correos electrónicos se llenaban de emails en los que se pedía el consentimiento para continuar tratando con sus datos. Sin embargo, esta avalancha de correos no era necesaria.
Las empresas entendieron que GDPR se basaba en el consentimiento y que habrían de contar con pruebas de que los usuarios aceptaban seguir recibiendo correos electrónicos publicitarios. Y, aunque no iban desencaminadas, el consentimiento de la nueva normativa europea es más que eso y son muchas las compañías que todavía no han entendido cómo cumplir con este requisito.
De hecho, según el último informe de la Agencia Española de Protección de Datos (AEPD), en el que se examina la adaptación por parte de las empresas a GDPR, las organizaciones no solicitan de la forma apropiada el consentimiento. Pues se siguen utilizando las fórmulas que se aceptaban con la antigua LOPD. Es decir, consentimiento en bloque y fórmulas predefinidas como “He leído y acepto la política de privacidad”, o también casillas premarcadas, algo que con GDPR no constituye un consentimiento válido, como tampoco lo hace la inacción.
En este nuevo paradigma, el consentimiento debe ser explícito, y las políticas deben explicarse de forma minuciosa y fácil de entender. Los usuarios deben saber qué datos se van a recopilar y los detalles del tratamiento y la transferencia, así como también los riesgos que supone la cesión de los mismos. En un consentimiento explícito, las personas deben manifestar afirmativamente y de forma clara que consienten todo lo informado, firmando por bloques de tratamiento y no de forma global.
Además, con GDPR el consentimiento debe ser un proceso revocable para cumplir con los derechos de los usuarios, los cuales son dueños de sus datos. Por esto debe ser igual de fácil revocarlo que otorgarlo, ofreciendo mecanismos simples y eficaces para realizar esta retirada del consentimiento.
¿Cumple tu empresa con el consentimiento inequívoco de GDPR?
GDPR define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierten”.
Con la nueva normativa europea, el consentimiento tácito o sobreentendido no tiene cabida. Ahora, el consentimiento debe ser inequívoco. Es decir, no puede existir ninguna duda respecto a la voluntad del usuario de compartir sus datos personales, por lo que esta manifestación debe obtenerse de manera independiente al hecho de acordar un contrato o de aceptar los términos y condiciones de uso.
Con el término “libre”, entendemos que debe existir una opción real y que el usuario pueda tener control sobre ese consentimiento. Es decir, que pueda revocarlo. Por otra parte, también se explica que el consentimiento no será libre si el hecho de revocarlo o denegarlo implicase consecuencias negativas para el interesado.
Si seguimos profundizando en los términos que definen el consentimiento en GDPR, la palabra “específico” hace referencia al llamado consentimiento en bloques o granular. Como decíamos, el consentimiento global ya no es válido y la finalidad del tratamiento de los datos debe aparecer de manera específica, apareciendo una opción de consentimiento para cada finalidad. Además, estas finalidades no pueden ampliarse una vez el usuario ha firmado los consentimientos, que deben contener información específica y separada por cada uno de ellos.
Con esto llegamos al último término, el consentimiento debe ser “informado”. Esto quiere decir que si el responsable de tratamiento no proporciona información que sea perfectamente comprensible por cualquier usuario, el consentimiento no es válido. Las personas deben comprender completamente las operaciones de tratamiento que está consintiendo, de ahí la importancia de separar la información en bloques específicos.
Esto último es importante, pues todas las empresas que todavía cuentan con extensas políticas de privacidad, ilegibles o llenas de terminología legal estarían incumpliendo GDPR.
El consentimiento en GDPR debe ser acreditable
Con la nueva normativa europea de Protección de Datos, las empresas deben llevar un registro del consentimiento de los usuarios, con el fin de que puedan otorgar la prueba de ello ante las autoridades competentes. En el caso de España, ante la AEPD.
Para que el consentimiento sea acreditable, se deberá llevar registro de varios elementos que enumeramos a continuación:
- Quién otorgó el consentimiento: debe guardarse registro del titular de los datos, identificándolo por su nombre o cualquier otro elemento, como pudiera ser el DNI. Además, si el usuario revoca el consentimiento, también debe quedar registrado para demostrar cuándo fue revocado.
- Cuándo y cómo se otorgó: Si el consentimiento se obtiene por escrito, de forma offline, tendremos que aportar una copia del documento del consentimiento que incluya la fecha y la firma del usuario, incluyendo las cláusulas informativas. Si se obtiene de forma online, el registro debe incluir un sello temporal.
- Qué información recibió el usuario: debe probarse que el interesado recibió la información de forma granular y clara. En una primera capa se presenta la información básica. En una segunda capa se ofrecerán todos los detalles completando el resumen de la primera capa.
Para esta tarea resulta muy útil la plataforma blockchain de Asentify, ya que gracias al funcionamiento de esta tecnología innovadora ofrece un registro privado, anónimo, inmutable y permanente, ofreciendo el control de sus datos al propio usuario, tal y como defiende el Reglamento General de Protección de Datos.
